Una nueva ola de secuestros de cuentas en la red social X apunta a figuras y proyectos cripto. La campaña usa enlaces que imitan invitaciones de Google Calendar para inducir a las víctimas a otorgar permisos a apps maliciosas. El incidente elude controles como la doble autenticación y compromete influencers, equipos de producto y seguidores que confían en cuentas verificadas.
El vector es un mensaje directo con un enlace cuyo preview en X muestra “calendar.google.com”, pero redirige a un dominio falso del tipo x(.)ca-lendar(.)com. Desde ahí se accede al endpoint de autorización de X; JavaScript gestiona la redirección y presenta una pantalla de permisos. El nombre de la app incluye caracteres cirílicos que se parecen a letras latinas, por lo que parece el mismo Google Calendar.
La app pide leer mensajes directos, publicar tuits, seguir o dejar de seguir cuentas y cambiar el perfil. Tras aceptar, la víctima llega a Calendly, lo que ayuda a ocultar el fraude.
Ataques a la comunidad cripto
La técnica que utilizan para atacar las cuenta de X generan cuatro efectos principales que inciden en la seguridad y confianza de la comunidad.
- Cuentas secuestradas publican estafas, ICO falsas o enlaces de phishing que causan pérdidas a los seguidores.
- Previews engañosos y homógrafos cirílicos amplían la superficie de ataque y dificultan la revisión manual.
- Cuestionamiento de la interfaz de X al apuntar a cómo se generan previews y cómo se muestran los nombres de apps.
- Exigencia de controles de compliance para listar apps conectadas y verificar sus permisos dentro de procesos KYC y de seguridad.
La campaña sigue activa y muestra un giro hacia ataques que explotan la interfaz y los flujos de autorización, no fallas de código. El próximo paso es que producto y compliance revisen y revoquen permisos de apps conectadas y adopten MFA resistente a phishing, según las fuentes citadas.
